ricardo suárez
DESCRIPTION
Ponencia en Colombia 3.0TRANSCRIPT
Ricardo Suárez Ingeniero de Sistemas Gerente de Tecnología Imaginanda [email protected] Twitter: @XKORPION
Conceptos de Programación Segura Errores comunes Vulnerabilidades de seguridad Tipos de ataques Control de riesgos Recursos de seguridad disponibles Listas de verificación en Programación
Segura Consejos generales
¿Qué es Programación Segura? Conjunto de prácticas y medidas utilizadas para desarrollar
software que controle y proteja de forma eficiente el sistema y la información.
¿Dónde y cuándo se debe utilizar?
Todo proyecto de software debe
aplicar medidas de seguridad en su programación.
Estas medidas deben aplicarse desde el comienzo mismo del desarrollo.
Errores de Concepto
“No manejo información vital por lo tanto no necesito
seguridad”
Errores de Concepto
Implementar seguridad es dispendioso y sobrecarga la aplicación
Errores de Concepto
La seguridad sólo la debe proveer el Sistema Operativo
Errores de Programación
Implementar seguridad al final del desarrollo
No estar actualizado respecto a los riesgos
Gestión incorrecta de aplicaciones
Control de acceso Manejo de archivos Almacenamiento y codificación de datos
Ingeniería Social Dispositivos actuales y conectividad
Virus Spyware, Phishing y Spam Acceso no autorizado a datos
críticos Denegación de Servicio Suplantación de Identidad Captura de contraseñas Robo de información, Sabotaje,
Extorsión
Evaluación temprana de riesgos
¿La aplicación es un posible objetivo de ataque?
¿Qué tan crítica es la información que maneja la aplicación?
¿Qué sucede si un ataque es efectivo?
¿Qué costos/perdidas se generarían en caso de un ataque efectivo?
Respuesta a amenazas
Análisis de amenazas conocidas
Selección de técnicas de mitigación de riesgos
¿Cómo se responderá a las amenazas?
Arquitectura Patrones de Diseño
Definición de estructuras de código fuente Almacenamiento de información Bases de datos
Codificación Control de acceso Firewalls, Antivirus
Registro de sucesos
Control de privilegios y autenticación Configuración de aplicaciones Almacenamiento y archivos temporales Uso de puertos de red Registro de sucesos (Auditoría)
La seguridad en programación es un proceso obligatorio en todo desarrollo
La seguridad perfecta no existe
No se debe subestimar el valor de la información que se maneja
Se debe generar una cultura de capacitación constante
Ricardo Suárez Ingeniero de Sistemas Gerente de Tecnología Imaginanda [email protected] Twitter: @XKORPION